[미래기술25]③“클라우드 설계할 때부터 보안 고려해야"

[이데일리 김현아 기자]

이석래 KISA 보안인증단장

정부가 지자체나 공공기관들도 민간 클라우드를 쓸 수 있도록 규제를 완화하고 있지만, 공공기관 입장에선 남들과 전산 자원을 나눠 쓰는 퍼블릭 클라우드가 불안한 게 사실입니다. 그래서 나온 게 ‘클라우드 보안 인증제’죠. 제 3자인 한국인터넷진흥원(KISA)가 인증받은 제품의 신뢰성과 투명성을 보장해줍니다.

이석래 KISA 보안인증단장은 “2016년 하반기 클라우드 보안 인증제‘를 시작했다”면서 “인증받은 제품은 별도 단계 없이 공공기관에 납품할 수 있는 조건이 된다”고 말했습니다. 그는 “클라우드 보안 인증제는 ISO 27000에 기반한 ISO/IEC 27017 같은 클라우드 정보통제 가이드라인(국제표준)을 따랐고 여기에 국내 보안 기준도 맞췄다”고 부연했습니다.

클라우드 보안 인증제는 서비스형 인프라(IaaS, Infrastructure as a Service)와 서비스형 소프트웨어(SaaS, Software as a Service)로 진행됩니다. 그는 “IaaS쪽은 인증을 시작한 지 3년 정도 되고 KT, 네이버비즈니스플랫폼(NBP), 가비아, NHN, LG CNS, 스마일허브, 삼성SDS, 더존비즈온 등 왠만한 기업들은 받았지민 SaaS 쪽은 NBP와 더존비즈온 정도”라면서 “이는 SaaS에 관심 있는 소프트웨어 기업들 대부분이 영세 중소기업이기 때문”이라고 말했습니다. SaaS 보안 인증을 받으려는 기업들을 보면 종업원 수가 30인 이하인 곳이 64%, 100인 이하인 곳이 84% 정도라고 합니다.

중소 소프트웨어 기업위해 간편등급 신설

그래서 KISA는 SaaS 보안 인증을 데이터의 중요도에 따라 간편등급과 표준등급으로 나누고, 인증제에 대한 이해를 돕기 위해 해설서 배포, 설명회 개최 등을 하고 있죠. 간편등급의 인증 기준 항목은 30개, 표준등급은 87개입니다.

이 단장은 “영세 소프트웨어 기업들이 공공 클라우드 시장에 진입하기 어렵다는 호소를 많이 했고 행안부와 협의해서 조금 낮춘 서비스 영역을 만들었다”면서 “공공기관의 핵심 업무인 그룹웨어나 전자결재, 인사관리 외에도 민간 클라우드를 이용할 수 있는 도서관리 서비스 같은 곳을 대상으로 한다”고 설명했습니다.

융합보안 대비한 시각 필요

클라우드 보안 인증제는 과도기이지만 국내 클라우드 기업들에 버팀목이 되고 있습니다. 민간 시장은 AWS나 MS, 구글 같은 글로벌 기업들이 차지했지만 공공 시장은 살아 있죠. 글로벌 기업들은 국내에 데이터를 둬야 한다거나, 국내에서 쓰이는 보안 알고리즘은 국가정보원 보안 적합성 심사를 받은 걸 써야 한다거나 하는 데 부담을 느껴 보안 인증을 받은 곳은 한 곳도 없습니다.

5G가 본격화되면 공장 근처 기지국이나 교환기에 데이터센터를 두고 초저지연 서비스를 클라우드로 제공할텐데 어떤 일을 주의해야 할지 궁금해졌습니다.

이석래 단장은 “5G 시대가 되면 더 중요해지는 게 바로 플랫폼”이라면서 “5G와 연계된 엣지 플랫폼에 정보가 집약될 텐데 이런 여러 응용 서비스가 모이는 엣지를 어떻게 관리하느냐가 중요하다고 본다”고 말했습니다.

특히 “블록체인이나 핀테크, 자율주행차 같은 응용서비스를 만들 때부터 보안을 고려해 설계하는 게 중요하다”면서 “그냥 서비스를 만들고 나중에 보안을 집어넣으려 하면 초연결 시대에 큰 문제가 발생할 수 있다. 정부가 산업진흥을 위해 하는 시범 사업이라도 보안을 기획 단계부터 고려해야 한다”고 강조했습니다.